Digital Guardian : Sécurité USB, comment prévenir et arrêter les logiciels malveillants?

Digital Guardian : Sécurité USB, comment prévenir et arrêter les logiciels malveillants?

560 420 2SB - Distributeur à valeur ajoutée - Solutions de Cybersécurité

Graeme Batsman, consultant senior en sécurité au sein de l’équipe des services professionnels de Fortra, donne un aperçu de tout ce qui concerne l’USB : comment limiter l’entrée et la sortie des données, et d’autres contrôles techniques qui peuvent être mis en œuvre pour atténuer les risques.

Revenons au milieu ou à la fin des années 1990, un lointain souvenir pour certains et plus précisément à la sortie des lecteurs optiques pour PC.
Il y a quelques années, il n’était pas rare de payer plus de 500 dollars par lecteur ; les CD ou DVD vierges qui étaient fournis avec ne coûtaient pas non plus plusieurs dollars pièce, comme c’est le cas aujourd’hui.

De nos jours, il est rare de voir des lecteurs optiques dans les ordinateurs de bureau ou les ordinateurs portables. En fait, peu d’ordinateurs de bureau ou portable modernes sont livrés avec des lecteurs de CD, de DVD ou de Blu-ray. C’est pourquoi les RSSI ne s’inquiètent pas des fuites ou des infections par des logiciels malveillants via des CD ou des DVD.

Il n’en va pas de même pour les ports USB, qui sont moins populaires qu’il y a dix ans en raison de l’augmentation de la vitesse et de la stabilité de l’internet, ainsi que des options basées sur le cloud comme Microsoft OneDrive, Google Drive, etc; mais toujours utilisés.
Bien qu’ils soient moins populaires, ils sont relativement bon marché, surtout par rapport à ce qu’ils coûtaient en l’an 2000.
Aujourd’hui, pour moins de 40 dollars, vous pouvez acheter une clé USB de 256 Go, ce qui peut facilement absorber un disque dur (HDD) ou un SSD (solid state drive) moderne entièrement.

En ce qui concerne votre organisation et la manière dont vous abordez la sécurité des clés USB, tout dépend de votre goût du risque.
Il y a de fortes chances qu’une entreprise de cyber sécurité aborde la question de l’utilisation des dispositifs USB différemment d’une franchise de coiffure.

Quels sont les dangers des clés USB ou des disques durs externes USB ?

Données entrantes

Peu de gens réfléchissent à la manière dont les données sont ingérées, comment les fichiers de données sont importés d’une clé USB à un ordinateur portable ou de bureau ! En supposant que les données ne soient pas malveillantes, quel est le problème ? D’une part, les morceaux de musique, les films et les logiciels sont tous liés à des accords de licence.
Prenons l’exemple de CCleaner, un utilitaire bien connu utilisé pour nettoyer les fichiers potentiellement indésirables des machines.
Il est peut-être gratuit, mais sa licence est réservée à un usage domestique, et non à un usage professionnel.
Si un employé l’apportait au bureau, il pourrait causer des problèmes à l’entreprise pour violation de l’accord de licence.

Il en va de même pour la musique ou les vidéos piratées. Imaginez que Disney ou Sony poursuive une entreprise Fortune 500 parce qu’un de ses employés a été surpris en possession de musique volée ou des derniers films inédits.

Prenons l’exemple du secteur de la course automobile, dont les enjeux sont considérables. Les concurrents développent régulièrement du matériel de pointe dans le cadre de réglementations strictes.
Imaginez qu’un employé vole la propriété intellectuelle de l’autre entreprise, l’ingère par USB et l’intègre dans ses dernières voitures.
L’un de ses concurrent le poursuivrait en justice, ce qui ne manquerait pas de mettre le feu aux poudres.

Données sortantes

Lorsqu’il s’agit de la sortie de données, c’est-à-dire lorsque des données quittent un réseau et sont transférées vers un site externe, les actions (et les conséquences) se répartissent généralement en deux catégories : intentionnelles et accidentelles.
Supposons qu’un employé enregistre des données sur une clé USB pour des raisons valables et que cette clé n’est pas cryptée par des méthodes logicielles ou matérielles.
Supposons ensuite que cette clé USB tombe de la poche d’un manteau et atterrisse dans une rame bondée du métro londonien.
Bien que la clé USB ne soit pas techniquement perdue ou volée, une fois que les données ont quitté l’entreprise, elles peuvent être transférées vers des ordinateurs personnels où elles risquent d’être infectées ou de ne pas être éliminées correctement.

Lorsque l’on parle d’informations exfiltrées à dessein, il s’agit généralement d’un scénario de menace interne.
Un employé a peut-être été chargé par un OCG (Organized Crime groups) ou un État-nation de voler des fichiers.
Des rumeurs remontant à plusieurs années suggèrent que la Russie et la Chine ont des centaines d’agents infiltrés dans toutes sortes d’organisations au Royaume-Uni. Si l’on s’éloigne des personnages comme M. Bond, même les véritables employés qui partent peuvent avoir tendance à se connecter à Salesforce, à télécharger des listes de clients et à les charger sur une clé USB avant d’effectuer leur période de préavis.

Machine/Network infection ou exploitation

Écrivez “salaires du personnel” ou “augmentations de salaire 2023” sur une clé USB et il y a de fortes chances que si quelqu’un la trouve à l’extérieur de l’entrée d’un bureau, il l’insère dans une machine.
Stuxnet, qui visait les systèmes de contrôle de surveillance et d’acquisition de données (SCADA) d’une centrale nucléaire iranienne à la fin des années 2000, utilisait une méthode d’infection similaire.
Un simple fichier ressemblant à un fichier .DOCX peut être un fichier exécutable (.EXE) susceptible d’infecter un ordinateur cible.
De même, les fichiers Portable Document Format (.PDF), Word, Excel et PowerPoint peuvent être truqués à l’aide d’exploits “zero days”.
Il suffit d’ouvrir un fichier “innocent” pour exploiter l’application et télécharger un .EXE à partir du réseau en quelques secondes.
Si le fichier contient une vulnérabilité de type “zero day”, les défenses logicielles peuvent ne pas être en mesure de l’attraper à temps.

Quelles sont les options logicielles pour contrôler les USB ?

1. Politique Zero

Mettez en œuvre des contrôles techniques zéro et adoptez peut-être une politique de non-utilisation des périphériques USB. Prenons l’exemple des limitations de vitesse. 70 MPH est la limite en vigueur au Royaume-Uni et même s’il n’y a pas toujours de caméras ou d’agents de la circulation, rien ne vous empêche physiquement de rouler à plus de 70 MPH. C’est un peu comme si les gens ne respectaient pas toujours explicitement les politiques ou les lois en matière de protection des données.

2. Write Blocker

Autoriser le montage des périphériques de stockage USB et bloquer simplement l’écriture, ce qui signifie que les fichiers peuvent être ouverts et copiés, mais pas écrits sur le disque. Dans ce cas, la sortie des données n’est pas un problème, mais l’entrée des données en est un, ainsi qu’un risque accru d’infection par des logiciels malveillants ou d’exploitation d’applications/systèmes d’exploitation.

3. Mount blocker

L’option la plus stricte. Si un employé insère un périphérique de stockage USB, il ne reçoit pas de signal de lecteur, ce qui le rend invisible pour l’appareil dans lequel il est inséré. L’absence d’accès de l’utilisateur signifie qu’il n’y a pas d’entrée ou de sortie de données, ni de risque d’infection.

4. Forced encryption

Un compromis pour les employés. Autorisez le stockage USB en lecture/écriture et appliquez le cryptage aux données écrites sur le disque externe. En fonction de l’appétence de votre organisation pour le risque, vous pouvez chiffrer sur la base d’une clé générée par le système ou permettre à l’utilisateur de choisir un mot de passe qui génère une clé en arrière-plan. Cette dernière option augmente la facilité d’utilisation/portabilité en permettant d’utiliser la clé USB sur des appareils non organisationnels sans avoir à installer un logiciel spécial sur chaque appareil. Cela dit, elle pourrait permettre à l’appareil de craquer les mots de passe puisque l’authentification se fait par l’intermédiaire de l’utilisateur et non d’une clé transparente.

USB Best Practices

Les options 2 et 4 constituent une amélioration par rapport à l’option 1, mais les infections et les exploits restent malheureusement un problème pour les organisations. Les logiciels, tels que les solutions de prévention des pertes de données sur les postes de travail, peuvent bloquer le lancement d’applications à partir de supports amovibles et bloquer la copie/ouverture de certains types de fichiers tels que : les fichiers de script Windows PowerShell (.PS1), les fichiers Java ARchive (.JAR), les fichiers batch (.BAT), les fichiers de commande Windows (.CMD), les fichiers d’application HTML (.HTA), etc.
Le blocage par l’en-tête hexadécimal du fichier est généralement plus sûr, car les attaquants peuvent facilement renommer le fichier malveillant pour tromper les utilisateurs ou contourner les contrôles techniques.

Source : Digital Guardian (part of Fortra)

Pour en savoir plus concernant la solution.